LAN


Virtuelle Netzwerke

Zur Erhöhung der Sicherheit ist dieses Netzwerk in mehrere virtuelle Subnetze unterteilt. Bei richtiger Verteilung neuer Geräte auf diese Netzwerke wird die Sicherheit der Kernnetze erheblich gesteigert. Die folgende Tabelle listet alle Subnetze auf und beschreibt ihre technischen Informationen und Zwecke.

WLAN-Name (SSID) VLAN ID Subnetznummer (IPv4) Subnetznummer (IPv6, hexadezimal) Beschreibung
Management - (nur kabelgebunden) Kein VLAN 0 1 Verwaltungsnetz für Access Points, Switch und Telefonadapter. Voller Internet- und Verwaltungszugriff. Nur für genannte Geräte oder vorübergehende Diagnosearbeiten bestimmt. Über dieses Netzwerk tauschen sich Access Points und Switch mit dem Konfigurationsserver im lokalen Netz aus.
Trusted WLAN-Kabel 10 10 2 Kernnetz für vertrauenswürdige Geräte. Voller Internet- und Verwaltungszugriff. Nur für Computer, Tablets und Smartphones von Familienmitgliedern.
Untrusted Internet 20 20 3 Netz für Gäste und internetgebundene IoT-Geräte. Nur für solche Geräte bestimmt, die eine Internetverbindung für ihre Kernfunktionalität zwingend benötigen (ausgenommen Computer, Tablets und Smartphones von Gästen). Keine Kommunikation zwischen diesem Netzwerk und dem Kernnetz möglich, aber voller Internetzugriff. Kein Verwaltungszugriff auf wichtige Netzwerkgeräte, auch nicht mit korrekten Zugangsdaten.
Isolated Schwefelhexafluorid 30 30 4 Abgeschottetes Netz für IoT-Geräte ohne Internetzwang (z.B. Drucker). Keine Kommunikation zur Außenwelt möglich (auch nicht zu anderen lokalen Netzen). Kein Verwaltungszugriff auf wichtige Netzwerkgeräte. Geräte in diesem Netz erhalten IP-Adressen nach dem gleichen Muster wie in den anderen Netzwerken, können aber selbst mit den öffentlichen IPv6-Adressen die Firewall nicht passieren. Verbindungen der Geräte untereinander sind erlaubt. Um mit hier untergebrachten Geräten zu kommunizieren, muss der eigene Rechner vorübergehend selbst mit diesem Netzwerk verbunden werden.
Exposed Neuland 40 40 5 Servernetz. Keine Kommunikation zu Gerätenetzen möglich, aber Gerätenetze dürfen Verbindungen zu Servern in diesem Netzwerk aufbauen. Voller Internetzugriff, aber kein Verwaltungszugriff auf wichtige Netzwerkgeräte. Enthält den Hauptserver und Telefonadapter. Die Router-Firewall schützt Geräte in diesem Netzwerk nicht und lässt Verbindungsanfragen aus dem öffentlichen Internet zu. Aufgrund von NAT ist nur Telefonie über IPv4 freigegeben, alle anderen Dienste sind trotz Firewallausnahme nur über IPv6 erreichbar. Gleiches gilt für temporäre Server auf gewöhnlichen Computern, die vorübergehend mit diesem Netzwerk verbunden werden. Da die öffentliche IPv4-Adresse spätestens bei einem Anbieterwechsel mit großer Wahrscheinlichkeit verschwinden wird, sind bereits jetzt nur IPv6-Freigaben möglich. Dieses Netzwerk wird von Servern verwendet, um bei Kompromittierung die anderen Geräte nicht zu gefährden. Es kann aber auch von gewöhnlichen Rechnern genutzt werden, wenn die Freigabe einer Software für das öffentliche Internet nötig ist.
VPN (Trusted) - Kein VLAN 50 6 VPN-Netz für Zugriff auf interne Dienste (z.B. Telefonanlage oder Routerverwaltung). Keine Kommunikation zu anderen Gerätenetzen möglich, aber voller Verwaltungs- und Internetzugriff. IPv6 wird über ULA mit NPT bereitgestellt. Zugriff aus dem Internet ist nicht erlaubt.
VPN (Exposed) - Kein VLAN 60 7 VPN-Netz für Freigaben ins Internet. Keine Kommunikation zu anderen Gerätenetzen möglich, aber voller Internetzugriff. IPv6 wird über ULA mit NPT bereitgestellt. Zugriff aus dem Internet ist erlaubt.

Information: Die privaten IPv4-Adressen folgen der Form 10.128.IPv4-Subnetznummer.X, wobei X eine gerätespezifische Zahl zwischen 1 und (einschließlich) 254 ist. Die öffentlichen IPv6-Adressen werden zugewiesen, indem die IPv6-Subnetznummer an das vom Internetanbieter zugewiesene Präfix angehängt wird (optimal ist eine Präfixlänge von /56, die kleinste unterstützte Präfixlänge ist /61) und den Geräten die Wahl der zweiten Adresshälfte überlassen wird. Der Router wählt stets ::1 als eigene zweite Adresshälfte. Die verbindungslokalen IPv6-Adressen werden von den einzelnen Geräten selbst verwaltet, der Router nutzt in jedem Netzwerk (außer der Internetverbindung nach außen) fe80::1.


DHCPv4-Server Startadresse der dynamischen Vergabe (nur letztes Oktett): 100 Endadresse (inkl.) der dynamischen Vergabe (nur letztes Oktett): 239 Routeradresse (nur letztes Oktett): 254 Subnetzmaske: 255.255.255.0 (CIDR: /24) Gültigkeitsdauer dynamisch vergebener Adressen: 12 Stunden (43200 Sekunden)

Information: Wichtige Netzwerkgeräte sind statisch mit Adressen mit letztem Oktett 240 und aufwärts konfiguriert. Normale Geräte, die eine statische bzw. manuelle Adressvergabe benötigen, sollten Adressen mit letztem Oktett echt kleiner als 100 verwenden.

Information: Dynamisch vergebene Adressen bleiben in der Regel auch nach Ablauf der Gültigkeitsdauer konstant, d.h. beim nächsten Verbindungsaufbau des entsprechenden Gerätes wird wieder die gleiche Adresse zugewiesen. Hierzu wird ein Verfahren verwendet, welches die IP-Adresse aus der Hardwareadresse berechnet. Ausnahmen können entstehen, wenn der Zuweisungsalgorithmus eine Kollision erkennt, also wenn mehrere Geräte die gleiche IP-Adresse zugewiesen bekommen würden. In derartigen Fällen wird eine alternative Adresse gesucht und zugewiesen. Werden nun beide Geräte für die restliche Gültigkeitsdauer vom Netzwerk getrennt und danach in umgekehrter Reihenfolge wieder verbunden, werden ihre IP-Adressen vertauscht. Dies hat keine Auswirkung auf die Internetverbindung und bedeutet lediglich, dass nicht garantiert ist, dass der DHCP-Server jedem Gerät stets die gleiche Adresse zuweist (Standardverhalten aller gängigen Implementationen). Werden feste Adressen benötigt, so müssen diese direkt auf den jeweiligen Geräten eingetragen und DHCP in deren Einstellungen deaktiviert werden.

Wichtige, statisch konfigurierte Netzwerkgeräte (nicht per DHCP verwaltet) 192.168.1.1/24: DSL-Modem 192.168.100.1/24: Standardmodem (z.B. ONT) 10.128.0.248/24: Switch 10.128.0.249/24: Access Point im Dachgeschoss 10.128.0.250/24: Access Point im Obergeschoss 10.128.0.251/24: Access Point im Erdgeschoss 10.128.0.253/24 und 10.128.40.253/24: Hauptserver 10.128.40.252/24: Telefonadapter

Information: Das verwendete DSL-Modem nutzt 192.168.1.1/24 als seine IP-Adresse für die Verwaltung. Dies weicht von der Standardadresse 192.168.100.1/24 ab, die von den meisten anderen Modems verwendet wird. Daher sind oben beide Adressen aufgeführt. Die Standardadresse 192.168.100.1/24 ist höchstwahrscheinlich diejenige, die der Glasfaser-ONT verwendet, sofern dieser überhaupt über eine Verwaltungsschnittstelle verfügt.

Dynamisch vergebene Adressen

Management

Client-ID (hexadezimal, ohne Doppelpunkttrennung) Rechnername Ablaufzeitpunkt
Warte auf Initialisierung...

Trusted (WLAN-Kabel)

Client-ID (hexadezimal, ohne Doppelpunkttrennung) Rechnername Ablaufzeitpunkt
Warte auf Initialisierung...

Untrusted (Internet)

Client-ID (hexadezimal, ohne Doppelpunkttrennung) Rechnername Ablaufzeitpunkt
Warte auf Initialisierung...

Isolated (Schwefelhexafluorid)

Client-ID (hexadezimal, ohne Doppelpunkttrennung) Rechnername Ablaufzeitpunkt
Warte auf Initialisierung...

Exposed (Neuland)

Client-ID (hexadezimal, ohne Doppelpunkttrennung) Rechnername Ablaufzeitpunkt
Warte auf Initialisierung...

Information: Abgelaufene Leases werden erst bei der nächsten Anfrage an den Server aus der Liste entfernt. Dies kann Minuten oder Wochen dauern.

Information: Die Client-ID wird nicht von allen Geräten mitgesendet. Insbesondere IoT-Geräte teilen dem Server oft keinen eigenen Wert mit. In diesen Fällen erzeugt der Server automatisch eine Client-ID nach dem Muster 01:HARDWAREADRESSE.

Information: Der Rechnername wird nicht von allen Geräten mitgesendet. Insbesondere iOS-Geräte verschleiern ihn oft. Das Deaktivieren der Option "Private WLAN-Adresse verwenden" in den Einstellungen der WLAN-Verbindung (Info-I-Symbol) kann Abhilfe schaffen. Unbekannte Rechnernamen beeinträchtigen die Internetverbindung nicht, erschweren aber die Identifikation der Geräte (Client-ID und Diagnoseprotokoll des DNS-Forwarders können sie weiterhin deanonymisieren).


SLAAC-Server Flags: On-Link, Autonomous (A) Standardgateway-Gültigkeitsdauer: 1800 Sekunden Privates Präfix (ULA): fd0b:9272:534e::/48 Präfix-Verwendungsdauer: 1500 Sekunden Präfix-Gültigkeitsdauer: 1800 Sekunden DNS-Server-Gültigkeitsdauer: 1800 Sekunden

Information: IPv6-Adressen werden per SLAAC zugewiesen, DHCPv6 im Heimnetz wird nicht unterstützt. Das bedeutet, dass der Router auf jedem Netzwerk periodisch sowie auf Anfrage beitretender Geräte das jeweilige öffentliche Präfix und weitere Parameter verbreitet (ULA bzw. eindeutige lokale IPv6-Adressen werden ebenfalls unterstützt und automatisch konfiguriert). Die Geräte wählen die zweite Adresshälfte selbst und stellen sicher, dass diese nicht mit existierenden Adressen anderer Rechner kollidieren. Daher ist dem Router nicht bekannt, welche Adressen existieren, weshalb sie hier nicht aufgelistet werden können. Scans mit anderen Netzwerk-Dienstprogrammen zusammen mit den Diagnoseprotokollen können dieses Problem lösen. Die beste Methode wäre ein DHCPv6-Server, der aber aufgrund des höheren Aufwands und der fehlenden Kompatibilität mit Android-Geräten nicht vorhanden ist. Zudem können Geräte beliebig viele Adressen beanspruchen, was aufgrund der Größe des Adressraums (2⁶⁴) nicht problematisch, sondern insbesondere auf Servern sogar hilfreich ist. Die Präfixableitung für die verschiedenen Subnetze ist unter dem Punkt "Virtuelle Netzwerke" beschrieben.

Statische Adressen bzw. Suffixe können auf den Geräten selbst eingestellt werden. Auch andere Parameter können dort überschrieben werden. Präfixbezogenes dynamisches DNS ist unter dem Menüpunkt "Dynamisches DNS (INWX)" konfigurierbar.


DNS Primärer DNS-Server: 2620:fe::fe (Quad9) Sekundärer DNS-Server: 9.9.9.9 (Quad9) Lokaler DNS-Server (IPv4): 10.128.SUBNETZ.254 Lokaler DNS-Server (IPv6): fe80::1

Information: Anfragen lokaler Geräte werden an die oberen beiden DNS-Server weitergeleitet (zuerst an den primären Server, bei Fehlern nach max. 3 Sekunden an den sekundären Server). Auf lokalen Geräten wird automatisch dieser Router als DNS-Server eingestellt. Sollte die manuelle Konfiguration eines Geräts nötig sein, nutzen Sie die unteren beiden Werte. Für IPv4 ist SUBNETZ je nach Netzwerkname mit folgender Zahl zu ersetzen: 10 für "WLAN-Kabel", 20 für "Internet", 30 für "Schwefelhexafluorid", 40 für "Neuland" und 0 für direkte Kabelverbindungen ohne VLAN (s. "Virtuelle Netzwerke"). Ein Neustart des DNS-Forwarders dauert ca. 30 Sekunden. Während dieser Zeit können abgehende Verbindungen ins Internet fehlschlagen und bestehende Verbindungen unterbrochen werden. Möglicherweise muss danach der Telefonadapter ebenfalls neu gestartet werden, um den Telefoniedienst wiederherzustellen (falls beeinträchtigt). Im Normalfall sind derartige Neustarts nicht nötig, mit Ausnahme von Änderungen an der lokalen Domain.


Warte auf Initialisierung...

Information: Die lokale Domain ist ein optionales, empfohlenes Suffix, unter dem Geräte in den lokalen Netzwerken erreichbar sind. Beispielsweise wäre ein Gerät mit dem Namen "Arbeitsrechner" bei der lokalen Domain "example.com" sowohl unter "Arbeitsrechner" als auch unter "Arbeitsrechner.example.com" erreichbar. Diese Erreichbarkeit gilt nicht für Zugriffe aus dem öffentlichen Internet. Die lokale Domain sollte für dieses Netzwerk nur verändert werden, wenn dies wirklich nötig ist.